우리의 방법론
대부분의 보안 도구는 취약점 목록을 표시하고 사용자가 이를 이해할 수 있도록 합니다. 우리는 그 반대로 행동합니다. 우리는 고객의 환경을 고려하고, 모든 요청을 따르고, 모든 계층을 문서화하고, 내일 실행할 수 있는 우선순위 계획을 고객에게 전달합니다.
목표는 더 긴 취약점 목록이 아니라 노출된 위치, 그것이 중요한 이유, 가장 먼저 해야 할 일을 더 명확하게 이해하는 것입니다. 이것이 스캔과 평가의 차이점입니다.
시스템, 계정, 경계, 통합 등 실제로 실행하는 항목을 매핑하는 것부터 시작합니다. 볼 수 없는 것을 방어할 수는 없습니다.
엣지, 애플리케이션, 네트워크, 백엔드, 데이터. 각 레이어는 단일 경계 스캔이 아닌 자체 분석을 받습니다.
빨간색/주황색/녹색 우선순위와 구체적인 다음 단계가 포함된 서면 보안 점수입니다. 보관하고, 공유하고, 조치를 취하는 것은 귀하의 것입니다.
도메인 1 - 액세스 제어 및 ID
모든 위반은 계정으로 시작됩니다. 우리는 사람, 권한, SSO, 오프보딩, 긴급 액세스 등 신원을 엔드 투 엔드로 감사합니다.
인증 앱 대체를 통해 모든 곳에서 다단계 인증이 시행됩니다.
에스컬레이션에 대한 전체 감사 로깅을 통해 별도의 관리자 계정을 제공합니다.
디렉터리 서비스 중단으로 인해 계정이 차단되는 일이 없도록 긴급 계정을 오프라인에 저장합니다.
기본 도구에 대한 SSO(보조 앱에는 SAML/OIDC 연결이 아직 보류 중임)
부서별 저장소 및 참여자-탈퇴자 흐름을 갖춘 팀 전체 비밀번호 관리자입니다.
모든 시스템에 대해 문서화된 오프보딩 스크립트 - 고아 액세스가 없습니다.
도메인 2 - 데이터 보호 및 백업 전략
우리는 암호화된 항목, 백업된 항목, 테스트 빈도, 복구 속도 등 전체 보호 수명주기를 감사합니다.
분기별 샌드박스 복원 테스트 및 정기 복구와 결합된 일일 백업입니다.
모든 노트북의 디스크 암호화와 스토리지 및 데이터베이스 전반의 플랫폼 관리 키.
활성 정보 보호 레이블이 사용 중인 현재 서명된 정책입니다.
시스템당 문서화된 복구 시간 및 복구 지점 목표.
런북, 지정된 소유자, 날짜가 지정된 감사 증거가 포함된 분기별 케이던스입니다.
우선순위, 종속성, 연간 연습이 포함된 서면 DR 계획입니다.
우리가 함께하는 백업 주기
전송 중 및 저장 중 암호화된 자동 일일 스냅샷.
샌드박스로 분기별로 복원합니다. 변명도 예외도 없습니다.
실제 RTO 대비 실제 복구 — 약속이 아닌 시간 단위로 측정됩니다.
데이터 무결성 검사 + 승인, 감사자를 위한 증거로 보관됩니다.
백업은 이벤트가 아니라 루프입니다. 중요한 단계는 복원뿐입니다.
도메인 3 - 인프라 및 네트워크 보안
인터넷 연결 에지, 사무실 WiFi, VLAN 경계, 패치 흐름. 우리는 경계를 통해 워크로드에 대한 개방형 인터넷의 요청을 따릅니다.
공용 IP, WAF 규칙, VLAN 및 수신 등 실제 토폴로지를 매핑한 다음 예상 구성과 비교하여 모든 홉을 확인합니다.
공개 도메인에 대한 속도 제한 및 봇 관리를 통한 엣지 보안.
공유 WPA2 비밀번호가 아닌 디렉토리 기반 인증을 갖춘 WPA3-Enterprise.
직원, IoT 및 게스트를 위한 별도의 VLAN — 평면 사무실 LAN이 없습니다.
30일 이내에 OS 및 앱 업데이트(문서화된 예외 포함)
아웃바운드 DNS 필터링 및 검토된 방화벽 규칙 세트.
내부 서비스에 대한 신원 인식 액세스, 암시적 네트워크 신뢰가 없습니다.
도메인 4 — 사고 대응 및 연속성
사고 대응 계획은 문서가 아니라 근육입니다. 우리는 계획, 훈련 주기, 외부 접촉 및 사고 후 루프를 확인합니다.
역할, 에스컬레이션 경로, 명확한 커뮤니케이션 트리가 포함된 현재 IR 계획입니다.
우리가 확인하는 것: 버전, 마지막 검토 날짜, 소유권 및 저장 위치 등 여기에 이름이 지정된 사람들이 여전히 여기에서 근무하는지 여부를 확인하세요.
팀이 플레이북을 알 수 있도록 1년에 2번씩 순환 시나리오를 사용하여 테이블 위에서 훈련합니다.
우리가 확인하는 것: 마지막 훈련 날짜, 시나리오 실행 날짜, 캡처된 교훈 및 계획에 반영된 변경 사항입니다.
CERT, 보험사, 법률 고문 및 IR 계획에 포함된 연중무휴 24시간 포렌식.
우리가 확인하는 것: 모든 연락처는 통화 및 사전 승인된 범위에 대해 테스트되었으므로 위기 상황에서 협상할 필요가 없습니다.
직원, 고객, 규제 기관 및 언론을 위한 사전 초안 보유 명세서 — 법적 검토를 거쳤습니다.
우리가 확인하는 것: 각 대상에 대한 템플릿, 승인된 에스컬레이션 임계값 및 상태 업데이트를 위한 단일 정보 소스.
14일 이내에 사후 분석을 체계화하고 작업 항목을 종료까지 추적합니다.
우리가 확인하는 것: 사고 발생 후 90일 동안 통제를 다시 확인하도록 하는 비난 없는 템플릿, 조치 기록 및 일정 알림입니다.
도메인 5 - 규정 준수 및 제3자 위험
GDPR 등록, 재고 처리, 데이터 주체 액세스, 공급업체 검토. 우리는 기록과 제3자 위험 표면을 감사하고 실제로 최신 기록을 남깁니다.
도메인에 맞게 조정된 안전 링크, 첨부 파일 및 피싱 방지 정책을 갖춘 이메일 플랫폼 필터링.
모든 활동, 법적 근거, 보유 기간 및 소유자에 대한 최신 등록입니다.
소유자, SLA 및 템플릿이 포함된 문서화된 데이터 주체 액세스 요청 프로세스입니다.
생산 또는 개인 데이터에 접근할 수 있는 모든 공급업체에 대한 위험 기반 평가입니다.
등록부에 보관된 개인 데이터를 다루는 모든 새로운 시스템 또는 공급업체에 대한 PIA입니다.
정책, 승인, 훈련 로그, 검토 등 규정 준수 증거를 검색 가능한 한 곳에서 확인할 수 있습니다.
결과물
위의 5개 영역에서 얻은 모든 결과는 번역가 없이도 조치를 취할 수 있는 3계층 시스템에서 점수가 매겨진 하나의 서면 보고서로 제공됩니다. 이것이 우리가 떠난 후에도 당신의 손에 남아 있는 것입니다.
액세스 제어, 데이터 보호, 인프라, 사고 대응, 규정 준수 - 각각 상태, 조사 결과, 증거가 포함되어 있습니다.
모든 격차에 대해: 우선순위, 소유자, 노력 추정 및 구체적인 다음 조치 — 모호한 '검토 및 개선'이 아닙니다.
보고서에 포함된 아키텍처 다이어그램은 그림이 산문과 일치하도록 정상/위험/중요로 표시되어 있습니다.
귀하의 보안 점수
전문 용어로 가득 찬 종이 더미를 얻을 수 없습니다. 점수를 얻습니다. 항목별로 무엇이 효과가 있고 무엇이 주의가 필요한지 즉시 확인합니다.
심각한 취약점 - 즉각적인 조치가 필요합니다. 가능하면 낮에 수정해 드립니다.
주의가 필요합니다. 30일 이내에 계획을 세우세요. 우리는 당신에게 단계를 제공합니다.
모두 좋습니다. 이 부분은 적절하게 처리되었습니다. 서면으로 확인했습니다.
평균적으로 평가당 8~12개의 문제를 찾습니다. 무엇을 발견하든 가능하면 당일에 수정합니다.
선택 사항 — 당일 빠른 승리
전체 평가 후 시간이 있으면 몇 주가 아닌 몇 분 만에 변경 사항을 적용하므로 깨어난 것보다 더 안전하게 잠자리에 들 수 있습니다.
필요한 경로에 대해 봇 관리, 브라우저 무결성 검사 및 보안 수준을 켜십시오. 5분이면 진짜 효과를 볼 수 있습니다.
문의 양식, 로그인 및 비밀번호 재설정에 적절한 제한을 두십시오. 시작하기 전에 가장 쉬운 남용 경로를 차단합니다.
레벨 1에서 찾은 이전 직원, 이전 관리자 계정 및 사용하지 않은 API 키를 취소합니다. 보고서에서 가장 저렴한 승리입니다.
HSTS, X-Frame-Options, 기본 CSP를 추가합니다. 엣지에서 한 번의 구성 변경으로 완료되고 영원히 유지됩니다.
정직한 경고: 빠른 승리는 전체 평가가 여유 시간 내에 완료되는 경우에만 발생합니다. 우리는 수정 사항을 위해 심도를 바꾸지 않습니다. 철저한 감사가 결과물이고 수정 사항은 보너스입니다.
코루가 다른 이유
많은 도구가 스캔을 판매합니다. 하루 동안 사무실에 앉아서 자신이 발견한 것을 설명하는 사람은 거의 없습니다. 차이점은 다음과 같습니다.
모든 수준에서 우리가 하는 일을 정확히 볼 수 있습니다. 블랙박스도 없고 독점 미스터리도 없습니다. 방법론은 결과물입니다.
인벤토리, 엣지, 애플리케이션, 네트워크, 백엔드, 데이터, 통합. 대부분의 스캔은 하나의 레이어를 포함합니다. 우리는 길을 덮습니다.
몇 분 안에 문제를 해결할 수 있으면 계속 진행하기 전에 문제를 해결합니다. 목록뿐만 아니라 결과도 가지고 떠납니다.
당사의 파트너십 서비스를 통해 보안 점수는 실시간으로 유지됩니다. 권장 사항에 따라 조치를 취하면 자세가 바뀌는 것을 확인할 수 있습니다.
우리가 찾은 모든 내용은 감사자, CTO 및 향후 채용 담당자가 읽을 수 있는 문서에 담겨 있습니다. 지식은 우리와 함께 떠나지 않습니다.
당신이 준비되면
하루 종일. 현장에서. 고정 가격. 보안 점수 보고서와 시간이 있는 경우 이미 배포된 개선 사항 스택을 가지고 가십시오.
